Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 6-1187

van Jean-Jacques De Gucht (Open Vld) d.d. 15 december 2016

aan de minister van Defensie, belast met Ambtenaren-zaken

Overheidswebsites - Veilige communicatie - Lekken - Verbetering van de veiligheid - Maatregelen

internet
computercriminaliteit
gegevensbescherming
Nederland
ministerie
overheidsadministratie
internetsite

Chronologie

15/12/2016Verzending vraag (Einde van de antwoordtermijn: 19/1/2017)
19/1/2017Antwoord

Ook gesteld aan : schriftelijke vraag 6-1176
Ook gesteld aan : schriftelijke vraag 6-1177
Ook gesteld aan : schriftelijke vraag 6-1178
Ook gesteld aan : schriftelijke vraag 6-1179
Ook gesteld aan : schriftelijke vraag 6-1180
Ook gesteld aan : schriftelijke vraag 6-1181
Ook gesteld aan : schriftelijke vraag 6-1182
Ook gesteld aan : schriftelijke vraag 6-1183
Ook gesteld aan : schriftelijke vraag 6-1184
Ook gesteld aan : schriftelijke vraag 6-1185
Ook gesteld aan : schriftelijke vraag 6-1186
Ook gesteld aan : schriftelijke vraag 6-1188
Ook gesteld aan : schriftelijke vraag 6-1189
Ook gesteld aan : schriftelijke vraag 6-1190
Ook gesteld aan : schriftelijke vraag 6-1191
Ook gesteld aan : schriftelijke vraag 6-1192
Ook gesteld aan : schriftelijke vraag 6-1193

Vraag nr. 6-1187 d.d. 15 december 2016 : (Vraag gesteld in het Nederlands)

De verbindingen naar veel Nederlandse overheidswebsites zijn niet goed beveiligd. Dat blijkt uit onderzoek van de Open State Foundation, een non-profitorganisatie die « transparantie in de politiek wil vergroten ». Een beveiligde verbinding is te herkennen aan een slotje in de browser.

De organisatie onderzocht 1 816 overheidswebsites ; slechts 44 % daarvan ondersteunt beveiligde verbindingen. Nog eens 6 % heeft wel een beveiligde verbinding, maar heeft hem niet goed ingesteld, waardoor aanvallers alsnog een kans hebben.

Onder meer de verbinding naar de website van de Rijksrecherche is onbeveiligd. Die politie-organisatie doet onderzoek naar misdragingen door overheidsfunctionarissen, waaronder politiemedewerkers. Wie een misstand melde op de site van de Rijksrecherche, liep tot woensdagavond echter het risico dat anderen meelazen. Dat kon bijvoorbeeld bij openbare wifi-hotspots, zoals in de trein, in een hotel of restaurant : de verbinding was dan eenvoudig te onderscheppen.

Na melding van de NOS is dat formulier verwijderd van de site. « Het is tijdelijk niet meer mogelijk om misstanden te melden », laat een woordvoerder weten. Burgers met tips kunnen nog wel bellen. Er wordt onderzocht of « vervolgmaatregelen » nodig zijn.

Ook de voorpagina van de website van de Belastingdienst heeft geen beveiligde verbinding. Het inloggen op de Belastingdienst-site is wel beveiligd, maar doordat de voorpagina dat niet is, kan een hacker een onveilige verbinding afdwingen. Dat kan bijvoorbeeld door een valse wifi-hotspot op te zetten op een station of een andere drukke plek.

Ironisch genoeg is ook de verbinding van de overheidssite die is bedoeld om een « internetbewuste overheid » te promoten niet goed beveiligd.

Het onderzoek betrof de voorpagina's van de overheidssites ; het is mogelijk dat bepaalde onderdelen van de websites beter zijn beveiligd. Beveiligingsexperts raden echter aan om sowieso de volledige website van een veilige verbinding te voorzien. De onbeveiligde sites zijn te herkennen aan het ontbreken van een slotje in de browser.

Ook zijn er een aantal websites van Nederlandse ambassades in landen waar bassale mensenrechten worden geschonden die niet beveiligd zijn met een goed functionerende https-verbinding.

Eerder onderzoek naar de overheidssites in ons land toonde gelijkaardige zwakheden aan. In een reactie stelde Fedict, de federale overheidsdienst Informatie- en Communicatietechnologie, dat het reeds geplande maatregelen om de SSL-encryptie te verbeteren nu versneld zal uitvoeren.

Wat betreft transversaal karakter van de vraag : de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016–2019, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Eén van de vastgelegde prioriteiten is de informaticacriminaliteit. Het betreft aldus een transversale gewestaangelegenheid waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Daarom heb ik volgende vragen voor u :

1) Zijn er geen veiligheidsrisico's voor de websites van de federale overheidsdiensten waarvoor u bevoegd bent, alsook uw eigen sites ? Kunt u de sites waarvoor u instaat oplijsten ?

2) Is er geen risico dat, bij het inloggen van gebruikers via wifi-hotspots, dat de communicatie met de overheidssites waarvoor u instaat kan worden ingelezen ? Kan u dit toelichten ?

3) Is het waar dat van de overheidswebsites die wel een https-verbinding gebruiken er ook nog een aantal websites zijn die zodanig zijn ingesteld dat er ook daar een beveiligingsrisico bestaat ?

4) Kunt u oplijsten voor welke overheidssites u specifiek bevoegd bent en dit inclusief de sites van de federale overheidsdiensten waarvoor u bevoegd bent en de sites van de buitendiensten ?

5) Werden de eerder aangekondigde maatregelen om de SSL-encryptie te verbeteren daadwerkelijk doorgevoerd door Fedict op alle sites waarvoor u bevoegd bent ? Kunt u dit concreet toelichten ?

6) Kunt u garanderen dat geen enkele site waarvoor u bevoegd bent nog werkt met SSL-3 ? Kunt u dit desgevallend toelichten ?

7) Kunt u concreet oplijsten welke maatregelen reeds zijn genomen sinds het onderzoek naar de Belgische overheidssites enkele zwakheden oplijstte om aldus een veilige verbinding met overheidswebsites tot stand te brengen ?

Antwoord ontvangen op 19 januari 2017 :

Het geachte lid, gelieve hierna het antwoord te willen vinden op de door hem gestelde vragen.

Voor wat Defensie betreft:

1-2-4 Bij Defensie dienen 2 types websites onderscheiden te worden die via het internet bereikt kunnen worden:

• Publieke site van Defensie

Het betreft hier de website www.mil.be. Deze site bevindt zich buiten het netwerk van Defensie en wordt beschermd door de netwerkbeschermingsmaatregelen die van toepassing zijn bij de externe provider (Proximus) waar de site gehost is. Deze site bevat enkel publieke informatie van Defensie die door de internetgemeenschap vrij kan geconsulteerd worden via een niet beveiligde verbinding. Het inloggen van internetgebruikers via wifi-hotspots houdt in principe geen risico’s in.

• Niet-publieke sites van Defensie

Deze sites bevinden zich in specifiek beschermde zones van het netwerk van Defensie en zijn via het internet enkel toegankelijk voor door Defensie geautoriseerde personen via een beveiligde verbinding. Er worden verschillende beschermingsmaatregelen genomen om de veiligheidsrisico’s te beperken. Om veiligheidsredenen is het hierbij niet opportuun om deze sites en de specifieke beschermingsmaatregelen te vermelden.

3. De https-verbindingen naar overheidswebsites kunnen gebaseerd zijn op het aan zwakheden onderhevige SSL-protocol of het veiligere TLS-protocol. Daarnaast kunnen overheidswebsites op het applicatievlak nog onderhevig zijn aan ‘web application’ aanvallen door zwakheden die in de applicatie zelf aanwezig zijn. Defensie neemt de nodige beschermingsmaatregelen om deze veiligheidsrisico’s te beperken. Om veiligheidsredenen is het hierbij niet opportuun om deze beschermingsmaatregelen te vermelden.

5-6. Defensie maakt voor zijn niet-publieke sites, die vanuit het internet toegankelijk zijn voor door geautoriseerde personen van Defensie, gebruik van door FedICT geleverde webserver certificaten. 

7. De volgende maatregelen werden genomen:

• De sites van Defensie die een beveiligde verbinding vereisen, maken voor het opzetten van de verbinding gebruik van een aangepast en veiliger protocol.

• De niet-publieke sites van Defensie zijn enkel toegankelijk voor door Defensie geautoriseerde personen. Dit vereist dat de gebruiker zich eerst dient te authentiseren vooraleer deze toegang kan krijgen tot een site.

• De niet-publieke sites van Defensie worden op het applicatievlak bijkomend beschermd door een specifieke Web Application Firewall.

• Voor andere door Defensie genomen maatregelen in het domein van computerbeveiliging en meer specifiek cyberdefence, graag verwijs ik naar het antwoord dat geformuleerd werd op de vraag in de Kamer nr. 535 van 7 januari 2016.

Voor wat het Nationaal Geografisch Instituut (NGI) betreft:

1. De sites ngi.be en ign.be gebruiken een verouderde technologie die niet meer voldoet aan de veiligheidsnormen. Om die redenen is een project in uitvoering om een volledig nieuwe site op te zetten die wel aan deze normen zal voldoen.

Geo.be is in ontwikkelingsfase maar is nog niet online. Wanneer deze online zal zijn, zal deze site de nodige veiligheidsnormen respecteren.

Cartesius.be voldoet aan de nodige veiligheidsnormen.

2. Er is een risico met de site ngi.be/ign.be, maar de informatie die wordt doorgestuurd, via het internet, naar de site is beperkt. Een klant heeft de mogelijkheid om zijn contactgegevens via een webformulier naar het NGI door te sturen. Deze contactgegevens zijn de Voornaam, Naam, E-Mail, Telefoon, Straat, Nummer, Postcode, Gemeente en Land van de klant.

Er is geen risico met de sites www.geo.be en www.cartesius.be.

De site ngi.be/ign.be is ontwikkeld met een verouderde technologie die misschien de mogelijkheid zou kunnen geven om communicaties met deze site te kunnen onderscheppen.

3. Er werden tot op vandaag geen veiligheidsincidenten waargenomen. 

4. www.ngi.be

www.ign.be

www.geo.be (in ontwikkelingsfase)

www.cartesius.be.

5. Nee.

Met de nieuwe ngi.be/ign.be website zal er een performante SSL-encryptie aanwezig zijn.

6. Geen enkele site waarvoor het NGI bevoegd is, werkt met SSL-3.

De huidige site ngi.be/ign.be heeft geen SSL encryptie omdat dit niet nodig werd geacht ten aanzien van de beperkte informatie die, via het internet, wordt doorgestuurd (zie vraag 2). Het NGI verkiest om onze beperkte resources in de opbouw van onze nieuwe website te zetten eerder dan deze in te zetten voor de aanpassing van de oude website die toch op korte termijn zal verdwijnen.

7. Het NGI werkt aan een volledige nieuwe website die, onder andere, de veiligheidsrisico’s zal aanpakken.

Voor wat de Centrale Dienst voor Sociale en Culturele Actie (CDSCA) betreft:

1. Site : portal.ocasc.be :

Deze voorzorgsmaatregelen gaan verder dan de aanbevelingen en de Best Practices.

De site ocasc-cdsca.be wordt gehost door FedICT.

2. Neen.

De authentificatie op portal.ocasc.be gebeurt via SmartCard en enkel via toestellen die door de instelling worden beheerd.

3. Niet voor wat betreft onze sites.

4. portal.ocasc.be en ocasc-cdsca.be.

5. FedICT beheert de klantensite ocasc-cdsca.be. Deze site is enkel toegankelijk via https. Ze hebben een Certificaat uitgegeven door QuoVadis.

6. Portal.ocasc.be gebruikt een wildcard Certificate uitgegeven door GlobalSign.

7. De site portal.ocasc.be is slechts toegankelijk sinds de enquête over de sites van de federale overheidsdiensten.

Lessen werden derhalve getrokken.

Voor wat het Koninklijk Museum van het Leger en de Krijgsgeschiedenis (KLM) betreft:

1. De site van het Koninklijk Legermuseum (KLM) (www.klm-mra.be) is een “statische” site, gehost door een Amerikaans bedrijf (Maven Hosting). Er is geen permanente verbinding tussen onze site en het netwerk van Defensie of de federale instellingen. Het risico dat het geachte lid vermeldt, is dus onbestaande.

2. Niet van toepassing (zie punt 1).

3. Niet van toepassing.

4. Zie punt 1, www.klm-mra.be die de enige site van het Museum is.

5. Niet van toepassing.

6. Het antwoord is positief.

7. Niet van toepassing.

Voor wat het Instituut voor Veteranen – Nationaal Instituut voor Oorlogsinvaliden, Oud-strijders en oorlogsslachtoffers (IV-NIOOO) betreft:

1. Het risico is beperkt tot de sites https://appsoc.warveterans.be, https://owncloud.warveterans.be en https://webmail.warveterans.be waar de medewerkers van het Instituut via een authenticatie kunnen inloggen in een toepassing die enkel door hen wordt gebruikt.

Lijst:

2. Het Instituut heeft geen weet van risico’s dat de communicatie met overheidswebsites kan worden ingelezen. De enige sites van het Instituut die vertrouwelijke gegevens doorgeven worden beschermd door een HTTPS TLS verbinding.

3. Een nulrisico bestaat niet. Toch heeft het Instituut alle nodige maatregelen genomen om een beveiligde verbinding te maken op de sites die vertrouwelijke gegevens doorgeven door gebruik te maken van het best mogelijke veiligheidsprotocol in HTTPS (TLS) en een authenticatieverzoek.

4. Zie lijst bij vraag 1.

5. De enige sites van het Instituut die door FedICT worden gehost, http://wardeadregister.be en http://www.treinder1000.be, geven geen vertrouwelijke gegevens door.

6. Alle sites van het Instituut die vertrouwelijke gegevens doorgeven zijn in TLS. Het Instituut heeft nooit gebruik gemaakt van SSL-3, omdat dit sinds eind 2014 verouderd werd verklaard en niet meer ondersteund wordt door de recente browsers.

7. Alle sites van het Instituut die vertrouwelijke gegevens doorgeven zijn in HTTPS TLS en vereisen een geauthentiseerde verbinding voordat de gegevens worden doorgegeven. Er zijn geen links tussen de publieke sites van het Instituut en de sites in HTTPS van het Instituut.

Voor wat Ambtenarenzaken betreft:

1. en 4.

De Federale Overheidsdienst (FOD) P&O is er zich van bewust dat een nulrisico niet bestaat, maar probeert een maximum van deze veiligheidsrisico’s te beperken. Concreet staat P&O in voor volgende sites:

2.

Alleen al door hun aard zijn wifi-hotspots kwetsbaar. De SSL-technologie wordt door de webapplicaties gebruikt om de internetverbinding te beveiligen, inclusief de online inschrijvingen, de verzending van persoonlijke gegevens etc. Deze informatie blijft vertrouwelijk tijdens de overdracht en is niet toegankelijk voor derden.

3

Beveiliging door enkel toegang via https toe te laten is maar één onderdeel van alle beveiligingselementen. De ICT-dienst verricht de nodige taken om de IT-infrastructuur up-to-date te houden.

5.

https://ecampus.ofoifa.be

Het platform wordt momenteel gehost door een externe dienstverlener die de verantwoordelijkheid draagt voor zijn verplichtingen op het vlak van het veiligheidsbeheer, die werden vastgesteld in de overheidsopdracht die hem werd gegund. Voor de encryptie gebruiken we niet langer het SSL-protocol, maar het TLS-protocol.

6.

Geen enkele website ondersteunt SSL3. Voor alle https-websites worden digitale certificaten gebruikt die uitgereikt worden door een international erkende Certificate Autority.

7.

Modificatie van de certificaten: langere encryptie, SSL Versie.

Het beperken van de toegang tot bepaalde sites en indien mogelijk het instellen van een lokale firewall.